пятница, 18 октября 2019 г.

Теперь можно отправить документы по ПДн на предварительную проверку Роскомнадзору


Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн.
В этой заметке я хочу рассказать вам про вторую важную задачу этих групп.
Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие.

Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал. 

Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, на соответствие обязательным требованиям. Решение по направлению проектов документов на рассмотрение исключительно добровольное. РКН называет эту процедуру “рассмотрением … подтверждающим выполнение требований” и никаких юридических последствий данная процедура иметь не будет.
  
Оператор в результате получит
·        подтверждение соответствия документов требованиям
·        либо рекомендации по потому чего не хватает

Следовать рекомендациям или нет – дело добровольное. Но как минимум вы будете в курсе того, что вам ждать на настоящей проверке РКН.

Хочу отметить, что подобные “рассмотрения” не заменяют полноценного аудита соответствия 152-ФЗ, так как не включает обследование обработки ПДн на месте и проверку соответствия фактически выполняемых процедур требованиям законодательства. Над этим вам придется поработать уже без помощи Роскомнадзора.

 Кстати, подобные предварительные проверки со стороны регулятора широко применяются в Евросоюзе и даже обязательны для определенных категорий операторов.


Напомню, что эксперимент проводится пока только в трех федеральных округах. Документы на рассмотрение можно отправить обычной почтой, по адресу управления Роскомнадзора по вашему региону, либо на электронную почту:

Я бы рекомендовал, как минимум, операторам самостоятельно (без помощи консультантов) разработавшим процессы и документы по ПДн – воспользоваться предложением РКН. Только отправляйте сразу весь пакет проектов документов который касается обработки и защиты ПДн. Не отправляйте утвержденные документы!

вторник, 15 октября 2019 г.

Рабочие группы Роскомнадзора по Персональным данным


Для оказания методической помощи операторам персональных данных в Роскомнадзоре были сформированы центры компетенции и рабочие группы по направлению «Персональные данные» в трех федеральных округах.

Я вошел в состав рабочей группы в Южном федеральном округе, ответственной за разработку наиболее полезного, с моей точки зрения, “методического портфеля” оператора ПДн. Рабочие группы в других ФО отвечают за разработку механизмом выявления, предотвращения и пресечению неправомерной обработки ПДн, за повышение уровня воспитания и поведения несовершеннолетних в сети Интернет. 

11 октября 2019 г. прошло установочное заседание нашей рабочей группы, на которой утвердили положение о РГ, программу мероприятий. Всего в РГ входит 50 экспертов из 5 городов. В виду сжатых сроков (до 25 ноября), выделили 4 подгруппы, каждая из которых берет на себя разработку одного из документов “Методического портфеля”. Разработанные документы согласует РГ, утвердит Центр компетенции Роскомнадзора, после чего они будут публиковаться на портале РКН и продвигаться для всех операторов ПДн в РФ (но это уже в следующем году). 


Почему я согласился поучаствовать в этой инициативе РКН? При анализе лучших практик других стран, в блоге я достаточно часто критиковал РКН за отсутствие публичной помощи операторам ПДн. 
Теперь представилась возможность самому поучаствовать и убедиться, что лучшие практики будет учтены. Надеюсь, что у нас, при помощи Аналитического центра УЦСБ, получится полезный для оператора “методический портфель” .

Буду держать Вас в курсе.



понедельник, 7 октября 2019 г.

ИБ. Связь между угрозами из БДУ ФСТЭК и мерами защиты из 17/21 приказа


Одни из наиболее проблемных вопросов с которым сталкиваются все операторы ПДн и ГИС связаны с отсутствием связи мер защиты из приказов ФСТЭК №17 и №21 с угрозами безопасности из БДУ ФСТЭК:
·        нужно ли их вообще связывать?
·        как они должны быть связаны?
·        какими методиками и лучшими практиками можно руководствоваться?
·        как это сделать для 50 ИС, более 200 угроз и более 100 мер защиты?  

В недавнем голосовании большой процент читателей сообщили что им интересная эта тема
 

Поэтому в прошлый вторник прошел второй наш совместный вебинар с Ксенией Шудровой (при поддержке RISC) посвященный связи мер и угроз. По задумке это должно было быть противостояние (versus): Ксения рассказывает про теоретический подход – что делать в общем с любыми угрозами в том числе новыми, ведь БДУ будет ещё пополняться; я рассказываю какие подходы в выборе контрмер применяются на практике и разбираю ряд свежих угроз из БДУ ФСТЭКа.

Примерно половину вебинара заняла секция вопросов и ответов. От слушателей было очень много вопросов (вот тут-то и было местами противостояние), за что спасибо.  Пришлось закругляться чтобы не ответить на все в мире вопросы по ИБ. Ниже запись вебинара:

Презентации можно будет скачать в группе VK или Facebook

Если вам интересен такой формат, то тут можно проголосовать за тему следующего вебинара или предложить собственную.

PS: Собственно по ссылке выкладываю таблицу соответствия угроз из БДУ ФСТЭК и мер защиты из приказов 17 / 21.  Пользуйтесь, а также оставляйте комментарии: что поправить и как улучшить – вместе сделаем доброе дело.




понедельник, 30 сентября 2019 г.

ИБ. Свежие отчеты Гартнера и Форестера

В магическом квадрате по межсетевым экранам для защиты web (WAF) фактически без изменений: лидеры на месте; небольшие перемещения в других частях. К сожалению многие популярные на российском рынке WAFы не представлены в данном отчете


Изменение в магическом квадрате Гартнера по WAF (Web Application Firewall) 2018 - 2019
Изменение в магическом квадрате Гартнера по WAF (Web Application Firewall) 2018 - 2019

В магическом квадрате по корпоративным межсетевым экранам (enterprise firewall или NGFW) тоже небольшие изменения. Все лидеры на своих местах. Добавились новые игроки - Microsoft и F5


Изменение в магическом квадрате Гартнера по NGFW 2018 - 2019
Изменение в магическом квадрате Гартнера по NGFW 2018 - 2019

А вот в квадрате по средствам защиты узлов (рабочих станций и серверов) на лидирующие позиции вырвались Microsoft c решением Defender ATP и CrowdStrike c Falcon. Из новых игроков - появился Check Point со своим решением SandBlast


Изменение в магическом квадрате Гартнера по Endpoint Protection 2018 - 2019
Изменение в магическом квадрате Гартнера по Endpoint Protection 2018 - 2019

По этой же теме есть свежая волна Форестера.


Лидеры рынка Ednpoint Security
Лидеры рынка Ednpoint Security
Таблица сравнения решений Endpoint Security
Таблица сравнения решений Endpoint Security

В квадрате платформ для обучение персонала по вопросам ИБ в самые лидеры вышли KnowBe4. В целом все решения данного квадрата слаба представлены в РФ, так как курсы в основном не переведены на русский язык и не адаптированы по российские реалии




вторник, 17 сентября 2019 г.

ИБ. Основные изменения в приказе ФСТЭК №17

13 сентября 2019 г. в Минюсте были зарегистрированы изменения в приказе ФСТЭК России №17 (а утверждены ещё 28 мая 2019 г.)

Я подготовил для вас небольшой видео обзор основных изменений.




Презентацию можно будет скачать в группе VK или Facebook


четверг, 12 сентября 2019 г.

ИБ. Безопасность / контроль детских мобильных устройств

Как безопасники мы защищаем и контролируем наших сотрудников. А наши дети зачастую остаются беззащитными и бесконтрольными при взаимодействии с гаджетами и сетью Интернет. Доколе сапожнику быть без сапог?

Сейчас каждая малявка имеет свой гаджет, а та, которая не имеет свой, берет на время родительский. Итак, мы имеем: пара телефонов детей (9, 6 лет) и несколько гаджетов родителей, которые вынуждены передаваться в не доверенные детские руки (в том числе 2 летние). Модель угроз: нерациональное использование времени (зависание в гаджетах), доступ к опасному и запрещенному для детей контенту (мобильным играм и приложениям, контенту в youtube, like и других соцсетях), опасные контакты в соцсетях, случайная подписка на платные сервисы, несанкционированные расходование денег на родительских гаджетах (где сохранены карточки), случайное удаление ценных данных на родительских гаджетах, установка вредоносных приложений.

Как нам нейтрализовать эти угрозы максимально эффективно?

1. Создаем и настраиваем семейную группу
Для контроля Android устройств есть отличное приложение от Google под названием Family link.
Если ранее ничего не было сделано, то создаем в Google аккаунты для каждого ребенка, даже 2 летнего.

Создаем в Google семейную группу и становимся в ней администратором. Добавляем в семейную группу аккаунты детей.

Если детские гаджеты старые, придется обновить ОС до свежей (7.0 и выше)

Удаляем с детских телефонов взрослые аккаунты. Устанавливаем ранее созданные детские аккаунты. Система сразу предложит установить Family link. Устанавливаем с настройками по-умолчанию, так как настроить лучше потом в удобной обстановке.

Далее настройки можно делать через родительское мобильное приложение family link или на сайте Управление семейной группой (все в лучших традициях MDM):
·       Ограничение google play маркет – можно настроить ограничения на показ доступного контента (для разных детей ставим разные возрастные группы 3+, 7+) и правила одобрения скачивания/покупки

·       Ограничение Google chrome – старшему ребенку ставлю “разрешить белые списки”, остальным удаляем браузеры
·       Фильтры в Google Поиске – ставим безопасный поиск (но поиск фактически не используется)
·       Отключаем Ассистента
·       Приложения Android – выносим вердикт для ранее встроенных и ранее установленных приложений. Для младших детей заблокировал все кроме часов, камеры и галереи. Старшей оставил ещё телефон, смс, chrome, музыку, Якарту.
·       Данные о местоположении сначала выключал. Но когда начинаются самостоятельные разъезды – включаю.

·       Публикацию фотографий в Google Фото – запрещаем
·       Действия по умолчанию для тех случаев, которые не может распознать Family Link – запрашивать у родителя
·       Далее устанавливаем дневные лимиты на использование гаджетов 30 мин и 1 час.
·       Устанавливаем время сна – когда гаджеты будет заблокированы. Оставил по умолчанию 21-07

Если вы покупаете/покупали ранее какой-то контент на google play то лучше сразу создать семейную библиотеку и добавить его в библиотеку – этот контент будет доступен всем членам семьи.
(приложение "Play Маркет" –> в левом верхнем углу нажмите на значок "Меню" -> Аккаунт -> Семейная -> Создать Семейную библиотеку).

2. Удаляем youtube (так как до 13 лет не рекомендуется). Ставим “Youtube Детям”. Можно в нем отдельно поставить таймер на 30 мин в день. Устанавливаем там возрастные ограничения для контента: до 4 / 5-7 / 8-12. Можно отключить встроенный поиск, но он довольно безопасный – пока оставил.  Бонус – отключается вся эта надоедливая реклама.

3. Удаляем все остальные соцсети (vk, facebook, Instagram, tiktok, likee – так как все они с 13 лет и не позволяют задавать ограничения контента внутри) и коммуникации на детских гаджетах (WhatsApp c 16 лет).  Если нужно регулярно публиковать какой-то контент, то только на взрослых гаджетах, под контролем.
Если бы дети были старше, пришлось бы оставлять соцсети и придумывать решения по ограничению контента внутри – например Касперский Safe Kids такое может.

4. Проблема безопасного временного допуска детей на взрослые гаджеты решилась очень просто, так как у нас Xiaomi. Там реализована функция – Второе пространство: нечто среднее между многопользовательским режимом и виртуальной машиной.
Включается одной кнопкой. Настроек немного – легко разберетесь. В появившемся втором пространстве – устанавливаем детский аккаунт, family link и далее все аналогично 1-3 шагам. Переключаемся между пространствами одной кнопкой + отпечаток. Удобно.
На других гаджетах смотрите в сторону многопользовательского режима. Его везде будут добавлять.


5. Если вы предпочитаете меньше запрещать, но потом проверить где был ребенок, что смотрел и что запускал – то к сожалению, возможности централизованного просмотра активности других пользователей - нет (privacy design). Но мы всегда можем зайти в браузере под аккаунтом ребенка и в разделе GoogleМои действия – посмотреть всю доступную историю.





6. Говорить с детьми, рассказывать им про опасности, меры защиты и зачем все эти ограничения

PS: Постарался дать вам информацию не в виде инструкций (таких полно, да они и не нужны, так как для безопасника тут все интуитивно понятно), а скорее в виде отчета / оптимального плана действий, если захотите что-то подобное. Пример был для adndroid, но вы легко найдете что-то подобное в ios.


PPS: кроме детей, можно ещё и телефоны родителей настроить аналогично.




четверг, 5 сентября 2019 г.

ИБ. Лучшие практики ИБ из Австралии


Не слежу постоянно за изменениями в InformationSecurity Manual (ISM), которые происходят, кстати, ежемесячно (в отличие от документов российских регуляторов), но иногда заглядываю, как в лучшие практики. Вот и после вчерашнего (4 сентября) обновления решил посмотреть и написать – много интересного накопилось.
 

В течении года австралийский регулятор придумывал как бы перейти от комплаенс-ориентированного применения ISM, когда организации должны выполнять все обязательные требования к риск-ориентированному, в котором организации используют ISM как framework для выбора мер защиты от актуальных рисков.

Теперь ISM = введение + Принципы + Руководства + Термины

Высокоуровневые общие для всех принципы кибер безопасности (Cyber Security Principles) которые обеспечат на стратегию организаций в том как защищать системы и информацию от кибер угроз. Принципы сгруппированы в рамках 4 процессов: 
К ним разработана достаточно простая модель оценки зрелости. Организация должна иметь возможность продемонстрировать что эти принципы соблюдаются.    

Далее идет набор из 22 руководств (Guidelines). Организации должны учитывать данные руководства при создании систем защиты в том объеме, который необходим для защиты каждой из систем в зависимости от актуальных рисков (кстати рекомендуют руководствоваться NIST SP 800-37 и ISO 31000:2018).

Руководства включают в себя тематически связанные наборы мер (controls) с разным приоритетом. Сами меры достаточно просто сформулированы – понятно, что надо делать.
Про инциденты

Про документы

Про VLAN

Про настройку ОС

Про пентесты

и тому подобное. В дополнительных материалах к ISM приводится шаблон Плана защиты (system security plan).

Если вам при создании системы защиты хотелось бы учитывать лучшие практики, то рекомендую Australian ISM.